Les Défis et Solutions de la Gestion des Vulnérabilités : 25 Ans de CVE
Le programme CVE (Common Vulnerabilities and Exposures) célèbre ses 25 ans d'existence, ayant été lancé en septembre 1999. Avant l'avènement des CVE, la gestion des vulnérabilités reposait sur des méthodes peu fiables, telles que l'exécution d'exploits douteux trouvés en ligne. Bien que le suivi des vulnérabilités ait considérablement évolué, plusieurs défis persistent. Parmi ceux-ci, les incitations à créer des CVE peuvent parfois être mal orientées, et le volume croissant de CVE rend difficile la cohérence du suivi. De plus, le suivi des dates peut être problématique, car certains CVE sont attribués avec des années antérieures, ce qui peut induire en erreur les professionnels de la sécurité.
Un autre défi majeur réside dans le marché libre de la création de CVE, où des processus automatisés peuvent générer des centaines de CVE basés sur des bugs déjà corrigés. Depuis 2005, le système CVSS (Common Vulnerability Scoring System) a été introduit pour évaluer la gravité des vulnérabilités, mais il présente également des limites. Le scoring subjectif et les différentes versions de CVSS compliquent l'évaluation précise des vulnérabilités.
Pour surmonter ces défis, il est crucial de ne pas se fier uniquement à un seul mécanisme de notation comme le CVSS. Une approche mixte, intégrant des cadres tels que MITRE ATT&CK et CISA KEV, est recommandée. Cependant, l'élément le plus important dans la gestion des correctifs est l'impact potentiel sur l'organisation. Identifier les parties critiques de l'entreprise et prioriser les correctifs pour ces systèmes est essentiel.
Enfin, il est vital de ne pas sous-estimer les vulnérabilités, même si elles semblent peu exploitées actuellement. Les attaquants déterminés cibleront toutes les faiblesses possibles, y compris les attaques au niveau du firmware et du matériel. L'amélioration continue du processus de remédiation des vulnérabilités est indispensable pour éviter que les attaquants n'en tirent profit.
Source : Dark Reading